目录
(18)限制攻击者通过不可信端口向DHCP服务器连续发送DHCP请求
(20)制定DHCO监听绑定表发生更新后,等待多少秒再写入文件
(21)制定DHCO监听绑定表发生更新后,直到多少秒后停止尝试写入操作
(23)交换机如果非信任端口接收的DHCP数据包中带有option82选项,也接收该DHCP数据包
(25)配置DAI要检查ARP数据包中的源MAC地址,目的MAC地址,源IP地址和DHCP Snooping绑定表中的信息是一致的
(10) 配置数据保存的时间间隔,缺省每隔n秒保存一次,并覆盖之前的数据文件
(14)配置设备分配IP地址时每次冲突探测的最长等待时间,缺省为n毫秒
(16)开启DHCP服务器为BOOTP客户端动态分配地址的功能
(19)配置地址池下的VPN实例, 使用同一个地址池为不同VPN网络中的客户端分配相同网段的IP地址
(28)指定客户端获取IP地址后下一步使用的文件服务器IP地址
(29)配置客户端自动获取IP地址后下一步使用的文件服务器地址
(32)配置DHCP Client的NetBIOS Server的IP地址
一、DHCP相关配置命令
1.思科设备配置命令
(1)开启DHCP服务
Router(config)#service dhcp 默认开启
(2)创建DHCP地址池
Router(config)#ip dhcp pool 地址池名
(3)配置DHCP服务器要分配的网络和掩码
Router(dhcp-config)#network IP地址 掩码
(4)配置分配给客户端的默认网关
Router(dhcp-config)#default-router 默认网关IP地址
(5)配置分配给客户端的域名
Router(dhcp-config)#domain-name 域名
(6)配置分配给客户端的WINS服务器
Router(dhcp-config)#netbios-name-server IP地址
(7)配置分配给客户端的DNS服务器
Router(dhcp-config)#dns-server IP地址
(8)配置分配给客户端的TFTP服务器
Router(dhcp-config)#option 150 ip 地址
(9)配置IP地址租期
Router(dhcp-config)#lease {天[小时] [分钟]|infinite}
(10)配置DHCP要手动分配给固定主机的IP地址
Router(dhcp-config)#client-identifier 标识符
(11)配置客户端的标识符
Router(config)#no ip dhcp conflict logging
(12)关闭DHCP冲突日志
Router(config)#ip dhcp excluded-address 短地址 | 长地址
(13)制定DHCP排除的地址
Router(config-if)#ip helper-address IP地址
(14)配置DHCP中继地址
Switch(config)#ip dhcp snooping
(15)交换机上启用DHCP侦听功能
Switch(config)#ip dhcp snooping
(16)对特定VLAN启用DHCP侦听
Switch(config-if)#ip dhcp snooping vlan vlanID号
(17)定义DHCP侦听可信端口
Switch(config-if)#ip dhcp snooping trust
(18)限制攻击者通过不可信端口向DHCP服务器连续发送DHCP请求
Switch(config-if)#ip dhcp snooping limit rate 速率
(19)将DHCP监听绑定表保存在Flash中
Switch(config)#ip dhcp snooping database flash:文件名
(20)制定DHCO监听绑定表发生更新后,等待多少秒再写入文件
Switch(config)#ip dhcp snooping database write-delay 秒数
默认为300s,可选范围为15-86 400s
(21)制定DHCO监听绑定表发生更新后,直到多少秒后停止尝试写入操作
Switch(config)#ip dhcp snooping database timeout 秒数
(22)交换机不在DHCP数据包中插入option82选项
Switch(config)#no ip dhcp snooping information option
(23)交换机如果非信任端口接收的DHCP数据包中带有option82选项,也接收该DHCP数据包
Switch(config)#ip dhcp snooping information option allow-untrusted
(24)在VLAN上启用DAI
Switch(config)#ip arp inspection vlan vlanID 号
(25)配置DAI要检查ARP数据包中的源MAC地址,目的MAC地址,源IP地址和DHCP Snooping绑定表中的信息是一致的
Switch(config)#ip arp inspection validate src-mac dst-mac ip
(26)配置DAI信任接口
Switch(config)#ip arp inspection trust
(27)配置接口ARP数据包发送速率
Switch(config)#ip arp inspection limit 速率
2.华为设备配置命令
(1)开启DHCP服务
[Huawei]dhcp enable
(2)开启DHCP报文自动限速功能
[Huawei]dhcp speed-limit auto
(3)开启接口采用接口地址池的DHCP服务器功能
[Huawei-GigabitEthernet0/0/1]dhcp select interface
(4)使能接口采用全局地址池的DHCP服务器功能
[Huawei-GigabitEthernet0/0/1]dhcp select global
(5)查看DHCP数据的存放信息
[Huawei]display dhcp server database
(6)开启设备分配地址的数据保存功能
[Huawei]dhcp server database enable
(10) 配置数据保存的时间间隔,缺省每隔n秒保存一次,并覆盖之前的数据文件
[Huawei]dhcp server database write-delay n
(11)开启DHCP数据恢复功能
[Huawei]dhcp server database recover
</